AutoTriage und das Schweizer-Käse-Modell der Sicherheit Rauschreduzierung
Oder warum Ihre herkömmlichen Scanner wahrscheinlich zu viel melden
Das Schweizer-Käse-Modell ist eine klassische Methode, um Risiken zu analysieren. In sicherheitskritischen Branchen geht es davon aus, dass Vorfälle auftreten, wenn „Lücken“ in mehreren unvollkommenen Abwehrmechanismen zusammenkommen. Um diese Risiken zu mindern, fügen Sie Abwehrmechanismen hinzu, um die Lücken zu verkleinern oder zu beseitigen und zu verhindern, dass negative Folgen durchschlüpfen.
In der Anwendungssicherheit werden Vorfälle nicht nur durch Code- und Konfigurationsschwachstellen verursacht, sondern auch durch eine Erosion des technischen Fokus aufgrund von Fehlalarmen und langsamen Behebungsmaßnahmen. Schwachstellenmanagement gleichermaßen ein technisches und ein prozessbezogenes Problem. Aikido einen strategischen Ansatz, um Störfaktoren zu reduzieren und die Behebung wichtiger Probleme zu beschleunigen.
Die Bedeutung einer mehrschichtigen Verteidigung
Wir können uns einen modernen AppSec als eine Reihe von übereinanderliegenden „Scheiben“ vorstellen, die jeweils darauf ausgelegt sind, verschiedene Arten von Problemen zu erkennen und die Gesamtrisikofläche zu verringern. Dazu gehören:
- Code-Scanning und Erreichbarkeit
- Problem triage Bewertung der Ausnutzbarkeit, Priorität und Auswirkungen
- Ausnutzungswahrscheinlichkeit und ihr Umfeldkontext
- Human-in-the-Loop-Kontrollen (lokale IDEs, CI-Systeme, PR-Genehmigungsabläufe)
- Die tatsächliche Korrektur des Codes unter Verwendung von Menschen und LLMs
Jeder der oben genannten Punkte kann sowohl eine ausnutzbare Schwachstelle als auch einen Engpass bei der Behebung darstellen. Die Arbeitsabläufe Aikidosind daher darauf ausgerichtet, Reibungsverluste konsequent zu reduzieren, damit tatsächliche Schwachstellen dort behoben werden, wo sie am ehesten ausgenutzt werden können.
Schrumpflöcher mit Erreichbarkeit
Eine Schwachstelle des herkömmlichen Code-Scannings besteht darin, dass „Erfolg“ fälschlicherweise als das Auffinden möglichst vieler Probleme verstanden werden kann. Dazu gehören auch Befunde, die als Schwachstellen gemeldet werden, selbst wenn der anfällige Codepfad oder das anfällige Paket über benutzergesteuerte Eingaben nicht erreichbar ist. Die Erreichbarkeits-Engine Aikidofügt eine Programmablaufanalyse hinzu, um solche Fälle von vornherein automatisch zu ignorieren. Allein dadurch wird ein erheblicher Teil der Störsignale reduziert.
Beispielsweise könnte ein herkömmlicher SCA eine veraltete Version von pyyaml die eine kritische Sicherheitslücke enthält. Erreichbarkeitsanalyse jedoch, dass es keinen Code gibt, der das Paket tatsächlich verwendet. Daher kann das Problem trotz seiner dokumentierten Schwere sicher automatisch ignoriert werden.
AutoTriage als Entscheidungsinstanz
Wenn die Erreichbarkeit feststellt, dass ein Befund nominell auswertbar ist, fragt Aikido Folgendes:
- Können wir eine Ausnutzbarkeit ausschließen? Das heißt, gibt es eine wirksame Validierung, Bereinigung oder Umwandlung, die die Ausnutzung mindert?
- Wenn wir es nicht ausschließen können, wie sollten wir es dann priorisieren? Wir schätzen die Wahrscheinlichkeit und Schwere ein und ordnen es dann entsprechend ein.
Wir haben bereits zuvor veröffentlicht, wie Argumentationsmodelle hier helfen können. In vielen Fällen sind „Faustregeln“ ausreichend (und kostengünstiger). Bei komplexeren Fällen (z. B. Pfaddurchläufen) reduzieren Argumentationsmodelle durch die Zerlegung des Problems die Anzahl der Fehlalarme weiter.
All dies basiert auf einem ausgeprägten Bewusstsein für den Cry-Wolf-Effekt, bei dem zu viele Warnmeldungen mit geringem Wert das Vertrauen und die Reaktionsfähigkeit beeinträchtigen. Die Reduzierung dieses Effekts ist ein vorrangiges Ziel von AutoTriage.
Ausnutzbarkeit und Kontext der Umgebung
Die Wahrscheinlichkeit einer Ausnutzung in der Praxis ist entscheidend. Aikido EPSS , um Probleme mit geringem Risiko automatisch zu ignorieren oder herabzustufen und Teams auf die Bereiche zu konzentrieren, in denen tatsächlich Angriffe stattfinden. Da EPSS täglich aktualisiert wird, sorgt diese Ebene dafür, dass der Stack an die aktuelle Bedrohungslage angepasst bleibt und nicht an historische CVSS-Werte.
Darüber hinaus stufen wir die Schweregradbewertung je nach Kontext, wie z. B. Internet-Exposure, Entwicklungs- vs. Produktionsumgebungen und umgebende Kontrollen, nach oben oder unten. Hier ist das Sammeln von Kontextinformationen entscheidend. Wenn der Kontext falsch ist, ist auch die Entscheidung über den Schweregrad falsch. Aus diesem Grund investieren wir in die zeitnahe Feinabstimmung unserer LLMs und in die Einbindung der richtigen Code- und Umgebungsdetails in die Modelle, die AutoTriage durchführen.
Die Erreichbarkeit zeigt, dass dieser Exploit im Code erreichbar ist. Die KI-Analyse kommt jedoch zu dem Schluss, dass diese Schwachstelle in Bezug auf gefälschte Anfragen in diesem Zusammenhang keine Auswirkungen hat, da die Host-Domain fest codiert ist und vom Angreifer nicht geändert werden kann.
Menschliche Beteiligung, wo es darauf ankommt
Generative KI hat ein gut dokumentiertes Problem mit der Feedbackschleife. Es sind immer noch Menschen erforderlich, um die Ergebnisse zu überprüfen und letztendlich zu entscheiden, ob sie veröffentlicht werden sollen. Aikido zeigt seine Empfehlungen Aikido an den Stellen an, an denen Ihr Team bereits arbeitet:
- In Ihrer IDE, damit Sie schnelle Korrekturen vornehmen können, bevor Sie die Änderungen in ein gemeinsames Repository übertragen und CI-Pipelines ausführen.
- In PRs sehen Reviewer triage und AutoFix-Vorschläge direkt bei Codeänderungen.
- In CI können Sie also Sicherheit in den Kontext Ihrer bestehenden automatisierten Build-, Test- und Deployment-Pipelines
Das Ziel ist es, menschliche Zeit, Mühe und Urteilsvermögen für die Bereiche zu reservieren, in denen sie wirklich benötigt werden.
AutoFix, um Korrekturen sofort zu versenden
Wenn eine Entdeckung wahrscheinlich ausnutzbar ist und erhebliche Auswirkungen hat, ist die beste Warnmeldung eine, die eine dokumentierte Lösung mit dem bereits von Aikido zusammengestellten Kontext enthält. Aikido KI-Autofix bietet eine Vorschau der zur Behebung erforderlichen Änderung, generiert die Pull-Anforderung für Ihr Repository und liefert detaillierte Kommentare zu den Codeänderungen und den behobenen Schwachstellen.
AutoFix ist derzeit für SAST, IaC-Scan, SCA und container verfügbar. Ihr Code wird niemals dauerhaft von einer KI-Technologie gespeichert oder zum Trainieren von KI-Modellen verwendet (weitere Informationen finden Sie im Trust Center Aikido).
Aikido die Praxis umsetzen
Das ursprüngliche Schweizer-Käse-Modell lehrt, dass Vorfälle aus aufeinander abgestimmten Schwachstellen entstehen. In der Anwendungssicherheit sind Störungen und Verzögerungen zwei dieser Schwachstellen. Wenn Sie neu bei Aikido sind, fragen Sie sich vielleicht zunächst, warum weniger Sicherheitsprobleme auftauchen, als Sie erwarten würden. Das ist beabsichtigt! Aikido arbeitet Aikido und proaktiv daran, den Verwaltungsaufwand zu minimieren, den Sie für triage von Problemen aufwenden müssen, von denen nur einige eine bedeutende Auswirkung haben könnten.
Durch die Kombination von Erreichbarkeit, auf Argumentation basierender triage, menschlicher Validierung, wenn erforderlich, und Ein-Klick-Korrekturen machen wir es viel schwieriger, dass diese Lücken entstehen, und erleichtern es Ihrem Team, sich auf die wirklich wichtigen Aufgaben zu konzentrieren.
Sichern Sie Ihre Software jetzt.
.jpg)
.avif)
